L’entrata in vigore del nuovo regolamento europeo in materia di trattamento dei dati personali si sta avvicinando dopo l’accordo raggiunto dal Consiglio dell’Unione europea su di un “general approach” nei suoi contenuti che però lascia ancora spazio ad ulteriori trattative e mal di testa…
Alcuni esperti di privacy potrebbero aver già perso ogni speranza di vedere in questa vita la bozza finale del regolamento europeo sul trattamento dei dati personali dopo che ogni progresso nel suo processo di approvazione era seguito da un numero di passi indietro. Ma dopo oltre 3 anni dalla prima bozza, si è abbastanza ottimisti di vedere un’approvazione finale del regolamento privacy entro la fine dell’anno.
L’approvazione da parte del Consiglio dell’Unione europea della bozza finale del regolamento privacy europeo NON significa però che lo stesso è da intendersi approvato in modo definitivo. Ulteriori discussioni con il Parlamento e la Commissione europea avranno luogo e numerosi punti sono ancora aperti.
1. Sanzioni pecuniarie
Il Parlamento europeo aveva richiesto delle sanzioni per le violazioni della normativa privacy fino a 100 milioni di euro o al 5% del fatturato mondiale della società, a seconda di quale importo sia maggiore. Mentre il Consiglio ha ridotto le sanzioni massime all’importo più alto tra 1 milione o il 2% del fatturato globale.
2. Il one-stop-shop
La regola del “one-stop-shop” consentirà alle società di operare sotto la supervisione di un’unica autorità privacy in tutte le proprie attività nell’unione europea. Tale regola potrebbe portare ad una sorta di “shopping” delle autorità in Europa al fine di identificare quella più “adatta“. E forse per limitare tale forma di “abusi“, la bozza di regolamento approvata dal Consiglio prevede il diritto di ciascuna autorità privacy di trattare in ogni caso questioni relative ad un soggetto situato nello Stato membro che procede effetti solo sugli individui situati in quello Stato.
3. La notifica della data breach
La principale innovazione prevista dal nuovo regolamento privacy europeo è di obbligare qualsiasi soggetto a notificare le violazioni di dati personali, le c.d. “data breach“, quali ad esempio l’accesso abusivo a sistemi informatici all’autorità privacy competente e agli individui vittima della data breach con possibili conseguenze negative anche reputazionali. Ma l’ultima bozza di regolamento privacy limita questo obbligo di notifica unicamente alle violazioni che sono in grado con più probabilità di risultare in maggiori rischi per i diritti e le libertà degli individui o causare notevoli danni economici o sociali.
4. Consenso esplicito
In relazione alle circostanze in cui il trattamento dei dati personali richiede il consenso degli individui, il Parlamento europeo aveva richiesto che il consenso fosse “esplicito” mentre il Consiglio ha richiesto che un consenso “non ambiguo” sia sufficiente. Sembra un gioco di parole, ma si tratta di un punto cruciale per il successo di tecnologie quali ad esempio quelle dell’Internet of Things.
Il tentativo da parte delle autorità privacy di identificare delle soluzioni “innovative” per consentire agli individui di prestare il proprio consenso, come avvenuto in Italia con la normativa sui cookie, potrebbero essere in gran parte vanificate se un approccio più rigido sulla tipologia di consenso richiesto fosse adottato. E notevoli conseguenze potrebbero ad esempio accadere con riferimento alle soluzione che possono essere identificare quale parte dell’attuale consultazione del Garante sull’Internet of Things.
5. Il data protection officer
Il Consiglio dell’Unione europea ha reso la nomina del data protection officer non più obbligatoria lasciando la scelta alla discrezione degli Stati membri. Lo “shopping” dell’autorità e della normativa nazionale privacy più “adatta” potrebbe dipendere anche da questi fattori e ciò è quantomeno curioso visto che il regolamento europeo sul trattamento dei dati personali voleva creare una normativa uniforme in tutta Europa!
Viste le ultime accelerazioni nel processo di approvazione del regolamento, sembra che la scadenza della fine del 2015 non sia più una “chimera“. Questo vuol dire che società dovranno già incominciare a valutare i cambiamenti richiesti dalla nuova normativa che potrebbero in alcuni casi impattare notevolmente la loro struttura di gruppo.
Facebook Comments